RemoteVPN bei PPPoE auf PIX 501 möglich?

[Whistleblower 45]

Hallo,

 

hab mal wieder die kleine PIX für ein paar Tests rausgekramt.

Jetzt wollte ich VPN für Remote-Einwahl einrichten (egal ob Cisco, PPTP oder L2TP) und stolpere darüber, dass ich vpnd nicht auf dem gleichen Interface wie pppoe (also outside) einrichten kann?

Fehlermeldung:

"Can not enable vpdn on the same interface as PPPoE."

Ist das tatsächlich eine Beschränkung der PIX 501 oder lediglich eine Beschränkung des PDMs?

Feste IP wird in meinem Fall leider erst per PPPoE zugeteilt...

[blackbox 10]

Hi,

 

das verwundert mich jetzt - den ich habe div. mit Remote VPN laufen. Was hast du den für Release Stände ?

[Whistleblower 45]

Hi,

 

folgende Releasestände sind drauf:

Cisco PIX Firewall Version 6.3(5)
Cisco PIX Device Manager Version 3.0(4)

Compiled on Thu 04-Aug-05 21:40 by morlee

pixfirewall up 18 hours 14 mins

Hardware:   PIX-501, 16 MB RAM, CPU Am5x86 133 MHz
Flash E28F640J3 @ 0x3000000, 8MB
BIOS Flash E28F640J3 @ 0xfffd8000, 128KB

0: ethernet0: address is 0008.21e6.96cb, irq 9
1: ethernet1: address is 0008.21e6.96cc, irq 10
Licensed Features:
Failover:                    Disabled
VPN-DES:                     Enabled
VPN-3DES-AES:                Enabled
Maximum Physical Interfaces: 2
Maximum Interfaces:          2
Cut-through Proxy:           Enabled
Guards:                      Enabled
URL-filtering:               Enabled
Inside Hosts:                10
Throughput:                  Unlimited
IKE peers:                   10

This PIX has a Restricted (R) license.

 

Ich muss mich allerdings korrigieren - Remote-Access über Cisco VPN Client lässt sich einrichten - nur PPTP oder L2TP scheitert!

[blackbox 10]

Hallo,

 

PPTP & L2TP klappen nicht mit PPPoE soweit ich weiss - hatte mich schon gewundert das IPSec nicht gehen sollte.

[Whistleblower 45]

Hallo,

 

PPTP & L2TP klappen nicht mit PPPoE soweit ich weiss - hatte mich schon gewundert das IPSec nicht gehen sollte.

 

Hi,

 

gibt's irgendeinen akzeptablen Workaround dazu?

Beispielsweise SOHO-Router, der das PPPoE übernimmt, und die PIX dahinter?

Verkompliziert nur unnötigt die NAT-Konfig... :suspect:

[blackbox 10]

Habe ich mich noch nie mit beschäftigt - da ich PPTP oder L2TP nie benutze. Die ASA soll es auch mit PPPoE können. Warum willst du das den benutzen ?

 

Gruss

[makana 10]

also ich hab eineige pixen mit dem selben IOs stand und es geht einfach nur probier mal den weg über die CLI der PDM ist ist der größte rotz seit erfindung des GUI im zusammenhang mit cisco.

[blackbox 10]

Der PDM ist sicherlich nicht die Erfinderung der Wahl - aber für 95% aller Leute die mit der Pix rumspielen reicht es vollkommen - und um sich mal "schnell" nen Überblick zu schaffen auch - klar tiefergreifendes nehme ich auch das CLI. Der ASDM bei der ASA hat sich ja auch verbessert - kann aber halt auch nicht alles.

 

Das ist immer das Problem von GUI´s - egal bei wem.

[Whistleblower 45]

Die ASA soll es auch mit PPPoE können. Warum willst du das den benutzen ?

Gruss

 

War eine Anforderung vom Kunden -> kein Einsatz des Cisco-VPN-Clients. Habe das ganze dann aber über einen 1751 nachgebildet. (Und den Kunden anschließend doch vom VPN-Client überzeugen können)

Der PDM (in der alten Version) begeistert mich übrigens auch nicht. Der SDM beispielsweise ist auch deutlich weiter entwickelt, reicht mir i.d.R. aber auch nicht. Mehrere dynamische Crypto-Maps parallel (z.B. ein oder mehrere L2L-VPN mit dyn. IP und VPN-Clients) gehen auch nur über Keyrings, und die werden im SDM nicht unterstützt.